Hallo, Gast! (Registrieren)

Wir wünschen allen Besuchern frohe Ostern!

Letzte Ankündigung: MyBB 1.8.37 veröffentlicht (04.11.23)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
[geteilt] Registration Security Question
#11
Und da ist der erste Bot. Die Log-Datei wurde erstellt. Demnach kam der User über die member.php.
Was nun?
#12
Äh, öh, ja, die Post-Daten wären vielleicht auch noch ganz interessant. Und hier kann man schon wieder nix bearbeiten. *grummel*

Hab mal ein aktualisiertes Plugin angehängt. Da steht dann auch noch sowas drin:

Code:
Array
(
)
Array
(
    [regcheck1] =>
    [regcheck2] => true
    [username] => barfoo
    [password] => barfoo
    [password2] => barfoo
    [email] => guggel@metamorpher.de
    [email2] => guggel@metamorpher.de
    [referrername] =>
    [imagestring] => cvyjz
    [imagehash] => d7f83a32e60de298b036b72569e2c0bc
    [allownotices] => 1
    [receivepms] => 1
    [pmnotice] => 1
    [subscriptionmethod] => 0
    [timezoneoffset] => 10
    [dstcorrection] => 2
    [language] =>
    [step] => registration
    [action] => do_register
    [regsubmit] => Submit Registration!
)

imagestring ist das Captcha und regcheck1/2 ist vermutlich diese neue unsichtbare Formularvoodoo von MyBB 1.6.5, hab aber im Code nicht nachgeschaut wie das umgesetzt ist.

Und wenn das so drin steht und der imageshash/imagestring jedes Mal was zufällig anderes ist, dann knackt da einfach jemand dein Captcha. Wenn du es mit einem Mensch zu tun hast nutzt dann auch ein besseres Captcha nichts.

Dann musst du halt mal Daten sammeln und schauen was diese Registrierungen von anderen Usern unterscheidet. Die IP, der User-Agent, immer das gleiche Klartext-Passwort, bei einem Bot gibts vielleicht ein Merkmal das sich herauskristallisiert. Mit einem (halbwegs denkfähigen) Menschen dahinter keine Chance es sei denn du wickelst Registrierungen komplett manuell ab bzw. schickst neue User in einen Sandkasten zur persönlichen Vorstellung oder sowas, aber Spam-User sind da das kleinere Übel insb. solange sie nach der Registrierung ruhig bleiben - dann kannst nämlich einfach alle paar Wochen die paar Wochen alten 0-Post-User löschen.


Angehängte Dateien
.php   userlogger.php (Größe: 550 Bytes / Downloads: 2)
#13
(24.01.2012, 00:36)frostschutz schrieb: imagestring ist das Captcha und regcheck1/2 ist vermutlich diese neue unsichtbare Formularvoodoo von MyBB 1.6.5, hab aber im Code nicht nachgeschaut wie das umgesetzt ist.
Nö, das heißt standardmäßig email3, der Name kann aber im ACP eingestellt werden.
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
#14
regcheck scheint aber trotzdem in die gleiche Kategorie zu fallen, zumindest bezieht sich der Kommentar in der Funktion die das prüft auch auf Spambots. Voodoo halt. Smile

PHP-Code:
/**
         * Verifies if this is coming from a spam bot or not
         *
         * @return boolean True when valid, false when invalid.
         */
        
function verify_checkfields()
        {
                
$user = &$this->data;

                
// An invalid language has been specified?
                
if($user['regcheck1'] !== "" || $user['regcheck2'] !== "true")
                {
                        
$this->set_error("invalid_checkfield");
                        return 
false;
                }
                return 
true;
        } 
#15
Schauen wir mal, ich habe das neue userlogger-Plugin installiert. Vielen Dank schon mal!
#16
Jetzt hab ich wieder einen Spammer. Hier mal zur Information ein Auszug aus dem Logfile:
Code:
Array
(
    [regcheck2] => true
    [username] => erefflouh
    [email] => parsonum.ano@gmail.com
    [email2] => parsonum.ano@gmail.com
    [imagestring] => 9xr1c
    [imagehash] => cb139056fc4cc8cb894b0963bf23fd6f
    [regsecureq_id] => 8
    [allownotices] => 1
    [hideemail] => 1
    [receivepms] => 1
    [pmnotice] => 1
    [emailpmnotify] => 1
    [subscriptionmethod] => 0
    [timezoneoffset] => 2
    [dstcorrection] => 2
    [step] => registration
    [action] => do_register
    [regsubmit] => Registrierung bestätigen!
)
#17
regsecureans fehlt? Wenn du es nicht rausgeschnitten hast könnte das ein Hinweis darauf sein daß das regsecurereq Plugin nicht richtig tut. Ansonsten hast da halt jemand der deine Captchas löst, da der imagestring ja (vermutlich richtig) ausgefüllt ist...
#18
Das gleiche Verhalten sehe ich hier auch, aber wenn ich das Feld "regsecureans" weglasse, kommt die korrekte Fehlermeldung.
(24.01.2012, 12:45)frostschutz schrieb: da der imagestring ja (vermutlich richtig) ausgefüllt ist...
In den meisten Fällen werden nicht einmal alle Buchstaben korrekt erkannt, aber der Bot probiert es eben mehrmals bis es klappt.
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
#19
Ja, regsecureans fehlt! Ich sehe auch an der Statistik von "Secure Questions" im Admin-CP, dass niemand versucht hat, die Frage zu beantworten.
Auffällig ist, dass regsecureq_id bisher immer den Wert 8 hatte. Eine Frage Nr. 8 existiert bei mir aber.

Hier mal zum Vergleich eine manuelle Anmeldung (die E-Mail-Adresse, die ich gewählt habe, ist übrigens die eines bekannten Spammers):
Code:
Array
(
    [regcheck1] =>
    [regcheck2] => true
    [username] => coverinfo-Testuser5
    [email] => lilagrunter@hamstermail.net
    [email2] => lilagrunter@hamstermail.net
    [coverinfo1007] =>
    [referrername] =>
    [imagestring] => ynKhc
    [imagehash] => c048e9e39ebd34e7048ed3f9bfd935a7
    [regsecureans] => deutschland
    [regsecureq_id] => 9
    [allownotices] => 1
    [receivepms] => 1
    [pmnotice] => 1
    [subscriptionmethod] => 0
    [timezoneoffset] => 1
    [dstcorrection] => 2
    [language] =>
    [step] => registration
    [action] => do_register
    [regsubmit] => Registrierung bestätigen!
)

Was fällt auf?
Es erscheint die Zeile "[regcheck1] => ", die bei Spambots nicht erscheint.
Desweiteren die Zeilen "[coverinfo1007] => " (das ist das unsichtbare Captcha, das standardmäßig email3 heißt) und "[referrername] => " sowie die regsecureans.

Was kann man daraus schließen? Dass auch das unsichtbare Captcha bei den Bots völlig wirkungslos ist?
#20
Beim Frage-Plugin kann ich im Moment nicht wirklich mitreden, da ich noch ne alte Version benutze und minimal angepasst hab... das muss dann halt mal ausgetestet werden ob das Plugin was durchläßt was nicht durch sollte.
Daß die Frage immer gleich ist ist ansonsten nicht verwunderlich (aber ein Hinweis darauf daß es ein Bot ist), zumindest wenn es immer noch so ist, daß man nicht zwingend die gestellte Frage beantworten muss sondern eine beliebige wählen darf. Da nutzen dann auch 1000 Fragen nichts wenn der Bot eine kennt...

Du kannst ja mal die Frage 8 löschen und neu anlegen (damit die Frage eine neue Nummer bekommt) und schauen was passiert ...

Edit:

Ich weiß nicht ob es Browser gibt die unausgefüllte Felder einfach ganz aus dem Post-Request weglassen. Wenn nicht, könnte man fehlende Felder auch einfach als Ausschlusskriterium hernehmen...